Il quadro normativo del nuovo Regolamento Europeo arricchisce l’organigramma privacy con figure nuove, molto specifiche, che non lasciano molto spazio all’interpretazione.
Tra queste, quella più discussa è sicuramente il DPO, Data Protection Officer o Responsabile della Protezione dei dati (RPd). Un’identità ben definita che viene illustrata a partire dall’art. 37.
E’ bene sottolineare come questa figura non sia un onere obbligatorio per tutte le aziende ma è stata introdotta per dare una concretezza al consolidamento delle procedure in ambito privacy, favorendo i processi di adeguamento alla normativa e uniformando gli aspetti interpretativi. È una figura professionale, formata e preparata per poter dare continuo supporto all’azienda nello sviluppo di politiche e procedure di privacy by design.
Il DPO deve essere un professionista con competenze giuridiche, informatiche, di gestione processi, e risk management che abbia un ruolo aziendale, sia esso interno o esterno.
Ha il ruolo fondamentale e la responsabilità di supervisionare, indirizzare e monitorare tutti i processi di trattamento dei dati, con particolare attenzione alla loro protezione.
Chi deve nominare il DPO?
La figura del Data Protection Officier dovrà essere nominata dal titolare del trattamento o dal Responsabile del Trattamento, nei casi sanciti dall’art. 37 del Regolamento Generale 2016/679, il quale indica che la nomina dovrà essere obbligatoriamente effettuata ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate
le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono
in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono
il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono
nel trattamento, su larga scala, di categorie particolari di dati personali di cui
all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Nel comma 6 dello stesso articolo evidenzia come lo stesso DPO possa essere un dipendente del titolare del trattamento, oppure un esterno, formalmente nominato grazie ad un contratto di servizio.
I compiti del Responsabile della protezione dei dati (DPO).
La persona incaricata a svolgere il ruolo di RPD (o DPO) dovrà essere scelta sulla base di criteri soggettivi che dovranno evidenziare la buona conoscenza normativa e competenza in materia privacy, nonché le capacità per dover svolgere mansioni specifiche evidenziate nel codice all’art. 39:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento
nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti
dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati
membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o
degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare
del trattamento o del responsabile del trattamento in materia di protezione dei dati
personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione
del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei
dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento,
tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del
caso, consultazioni relativamente a qualunque altra questione.
Il ruolo in azienda:
Questa figura professionale dovrà avere una partecipazione attiva e continuativa nei processi aziendali. Esso dovrà essere coinvolto obbligatoriamente dal Titolare e dai Responsabili in tutte le questioni che interessano il trattamento di dati personali. Gli stessi dovranno a lui fornire tutti gli accessi necessari a poter espletare i propri compiti.
Approfondimenti del Garante: